Жертву — один из городских департаментов — атаковали в мае 2025 года. ИБ-сотрудникам организации прислали фишинговое письмо с почтового домена ранее скомпрометированного подрядчика, в нем было требование принять дополнительные меры по обеспечению ИБ. Для этого хакеры попросили перейти по ссылке для предоставления информации о сотрудниках, которые имеют доступ к конфиденциальным данным компании. Ссылка в письме вела на сервис одноразовых ссылок организации-жертвы с архивом «Приложение.7z».
Внутри архива было три файла: вордовский файл с анкетой сотрудника, имеющего доступ к секретной информации; PDF-файл с планом по информационной безопасности на 2025 год (загружен с официального сайта организации-жертвы), и lnk-файл с программой-загрузчиком вредоноса — он был замаскирован под формат PDF с уведомлением о необходимости внутренней проверки. ИБ-специалисты департамента заподозрили подозрительную активность и обратились к Solar 4RAYS с просьбой изучить письмо и файлы.
Эксперты Solar 4RAYS проанализировали письмо, подтвердили фишинг и обнаружили аналогичную рассылку Erudite Mogwai на другие организации в 2024 году. Специалисты выяснили, что и в атаке 2025 года, и в прошлогодних рассылках замаскированный lnk-файл загружал документ-приманку и программы для поэтапной загрузки вредоноса. При этом загрузчик имел механизмы для многоступенчатой проверки на запуск в виртуальной среде. Если вредонос обнаруживает, что запущен в «песочнице», он прекращает работу. Это сделано, чтобы скрыть атаку и затруднить анализ ВПО исследователями.
Отдельно отметим, что в прошлогодней рассылке загрузка всех этих файлов выполнялась с заранее скомпрометированного легитимного ресурса негосударственной образовательной организации, что повышало доверие компании-жертвы. По атакам прошлого года эксперты также выяснили, что тем самым вредоносом был бэкдор — с его помощью хакеры и планировали удаленно управлять зараженным компьютером. При этом вредонос начинал выполнять свои функции не сразу, а спустя несколько часов после скачивания файлов -это значительно затрудняло обнаружение атаки.
По результатам исследования письма для департамента в 2025 году и аналогичных рассылок из 2024 года видно, что атакующие, вероятно, сначала проводили пробные атаки и вносили в письма различные улучшения. Это говорит о том, что такой способ получения первоначального доступа к компьютеру эффективен. Erudite Mogwai продолжают совершенствовать фишинговые письма, и в 2025 году могут быть еще подобные рассылки, что может представлять угрозу для российских компаний.
По мнению экспертов Solar 4RAYS, за атаку на госсектор 2025 года ответственны злоумышленники из азиатской группировки Erudite Mogwai по ряду признаков, среди которых — применение импланта на сервере управления хакеров, имеющего связь с EruditeMogwai, а также использование литературных названий для импланта и фреймворка — Pinocchio и Hermes соответственно. Ранее эта же группировка использовала фразы из произведений по вселенным Гарри Поттера и Лавкрафта.
«По нашим наблюдениям, Erudite Mogwai очень осторожны. Они с каждым разом усложняют атаку, пытаясь уйти от обнаружения. Для защиты от подобных атак мы рекомендуем российским организациям более внимательно относиться к письмам от подрядчиков, которые содержат в себе ссылки на загрузку архивов. Особенно такое письмо подозрительно, если раньше подрядчики не просили ничего загружать», -подчеркнул Алексей Вишняков, технический директор Центра исследования киберугрозSolar 4RAYS ГК «Солар».
Специалисты Solar 4RAYS в своем блоге опубликовали индикаторы компрометации группировки — это поможет российским компаниям обнаруживать и блокировать вредоносную активность злоумышленников в своих корпоративных сетях. О главных трендах и новом уникальном инструментарии профессиональных атакующих эксперты Solar 4RAYS расскажут на SOC Forum 2025, который пройдет в рамках Российской недели кибербезопасности с 18 по 20 ноября.
